Microsoft Entra Domain Services beschrijven
Het IT-team van Contoso implementeert een aantal LOB-toepassingen (Line-Of-Business) op computers en apparaten die domeinleden zijn. Contoso gebruikt ad DS-referenties voor verificatie en GPO's om deze apparaten en apps te beheren. Nu overwegen ze deze apps te verplaatsen om te worden uitgevoerd in Azure. Een belangrijk probleem voor u is het leveren van verificatieservices aan deze apps.
Om aan deze behoefte te voldoen, kan het IT-team van Contoso ervoor kiezen om het volgende te doen:
- Implementeer een site-naar-site-VPN (Virtual Private Network) tussen uw lokale infrastructuur en de Azure IaaS.
- Implementeer replicadomeincontrollers van uw lokale AD DS als VM's in Azure.
Deze benaderingen kunnen echter extra kosten en administratieve inspanningen met zich meebrengen. Het verschil tussen deze twee benaderingen is ook dat bij de eerste optie verificatieverkeer de VPN overschrijdt; in de tweede optie overschrijdt replicatieverkeer het VPN- en verificatieverkeer in de cloud. Microsoft biedt Microsoft Entra Domain Services als alternatief voor deze benaderingen.
Wat is Microsoft Entra Domain Services?
Microsoft Entra Domain Services, die wordt uitgevoerd als onderdeel van de Laag Microsoft Entra ID P1 of P2, biedt domeinservices zoals Groepsbeleidsbeheer, domeindeelname en Kerberos-verificatie voor uw Microsoft Entra-tenant. Deze services zijn volledig compatibel met on-premises AD DS, zodat u ze kunt gebruiken zonder extra domeincontrollers in de cloud te implementeren en te beheren.
Omdat Microsoft Entra ID kan worden geïntegreerd met uw on-premises AD DS, kunnen gebruikers bij het implementeren van Microsoft Entra Connect organisatiereferenties gebruiken in zowel on-premises AD DS als in Microsoft Entra Domain Services. Zelfs als u AD DS niet lokaal hebt geïmplementeerd, kunt u Ervoor kiezen om Microsoft Entra Domain Services te gebruiken als een cloudservice. Hierdoor hebt u vergelijkbare functionaliteit van lokaal geïmplementeerde AD DS zonder dat u één domeincontroller on-premises of in de cloud hoeft te implementeren.
Contoso IT-medewerkers kunnen er bijvoorbeeld voor kiezen om een Microsoft Entra-tenant te maken en Microsoft Entra Domain Services in te schakelen en vervolgens een virtueel netwerk (VNet) te implementeren tussen de on-premises resources en de Microsoft Entra-tenant. It-medewerkers van Contoso kunnen Microsoft Entra Domain Services inschakelen voor dit VNet, zodat alle on-premises gebruikers en services domeinservices van Microsoft Entra-id kunnen gebruiken.
Microsoft Entra Domain Services biedt verschillende voordelen voor organisaties, zoals:
- Beheerders hoeven domeincontrollers niet te beheren, bij te werken en te bewaken.
- Beheerders hoeven Active Directory-replicatie niet te implementeren en te beheren.
- U hoeft geen groepen domeinadministratoren of ondernemingsadministratoren te hebben voor domeinen die door Microsoft Entra Domain Services worden beheerd.
Als u Microsoft Entra Domain Services wilt implementeren, moet u de huidige beperkingen van de service begrijpen. Deze omvatten:
- Alleen het Active Directory-basisobject van de basiscomputer wordt ondersteund.
- Het is niet mogelijk om het schema voor het domein Microsoft Entra Domain Services uit te breiden.
- De OE-structuur is plat en geneste OE's worden momenteel niet ondersteund.
- Er is een ingebouwd groepsbeleidsobject dat bestaat voor computer- en gebruikersaccounts.
- Het is niet mogelijk om OE's met ingebouwde GPO's te targeten. Daarnaast kunt u geen WMI-filters (Windows Management Instrumentation) of filters voor beveiligingsgroepen gebruiken.
Met Behulp van Microsoft Entra Domain Services kunt u toepassingen die gebruikmaken van LDAP, NT LAN Manager (NTLM) of de Kerberos-protocollen van uw on-premises infrastructuur naar de cloud migreren. U kunt ook toepassingen zoals Microsoft SQL Server of SharePoint Server op VM's gebruiken of implementeren in Azure IaaS. Dit alles zonder dat u domeincontrollers in de cloud of een VPN naar de lokale infrastructuur nodig hebt. De volgende tabel bevat enkele veelvoorkomende scenario's die gebruikmaken van Microsoft Entra Domain Services.
| Voordeel | Beschrijving |
|---|---|
| Beveiligd beheer van Azure-VM's | U kunt Azure-VM's toevoegen aan een door Microsoft Entra Domain Services beheerd domein, waarmee u één set Active Directory-referenties kunt gebruiken. Deze aanpak vermindert problemen met referentiebeheer, zoals het onderhouden van lokale beheerdersaccounts op elke VIRTUELE machine of afzonderlijke accounts en wachtwoorden tussen omgevingen. U kunt virtuele machines die u aan een door Microsoft Entra Domain Services beheerd domein koppelt, beheren en beveiligen. U kunt ook vereiste beveiligingsbasislijnen toepassen op VM's om ze te vergrendelen in overeenstemming met de beveiligingsrichtlijnen van het bedrijf. U kunt bijvoorbeeld de mogelijkheden van Groepsbeleidsbeheer gebruiken om de typen toepassingen te beperken die op de VIRTUELE machine kunnen worden gestart. |
| On-premises toepassingen die gebruikmaken van LDAP-bindingsverificatie | In dit scenario kunnen toepassingen met Microsoft Entra Domain Services LDAP-bindingen uitvoeren als onderdeel van het verificatieproces. Verouderde on-premises toepassingen kunnen lift-and-shiften naar Azure en blijven gebruikers naadloos verifiëren zonder enige wijziging in de configuratie of gebruikerservaring. |
| On-premises toepassingen die GEBRUIKMAKEN van LDAP-leesbewerkingen voor toegang tot de directory | In dit scenario kunnen toepassingen met Microsoft Entra Domain Services LDAP-leesbewerkingen uitvoeren op het beheerde domein om de kenmerkgegevens op te halen die nodig zijn. De toepassing hoeft niet opnieuw te worden geschreven, dus met een lift-and-shift in Azure kunnen gebruikers de app blijven gebruiken zonder te beseffen dat er een wijziging is in waar deze wordt uitgevoerd. |
| On-premises service of daemon-toepassing | Sommige toepassingen bevatten meerdere lagen, waarbij een van de lagen geverifieerde aanroepen moet uitvoeren naar een back-endlaag, zoals een database. Active Directory-serviceaccounts worden vaak gebruikt in deze scenario's. Wanneer u toepassingen opheft en verschuift naar Azure, kunt u met Microsoft Entra Domain Services op dezelfde manier serviceaccounts blijven gebruiken. U kunt ervoor kiezen om hetzelfde serviceaccount te gebruiken dat vanuit uw on-premises adreslijst wordt gesynchroniseerd met Microsoft Entra-id, of een aangepaste organisatie-eenheid te maken en vervolgens een afzonderlijk serviceaccount in die organisatie-eenheid te maken. Met beide benaderingen blijven toepassingen op dezelfde manier werken om geverifieerde aanroepen naar andere lagen en services uit te voeren. |
| Extern bureaublad-services in Azure | U kunt ook Microsoft Entra Domain Services gebruiken om beheerde domeinservices te bieden aan extern-bureaubladservers die zijn geïmplementeerd in Azure. |
Overwegingen
Bij het implementeren van de vorige scenario's zijn de volgende implementatieoverwegingen van toepassing:
- Door Microsoft Entra Domain Services beheerde domeinen maken standaard gebruik van één platte OE-structuur. Alle aan een domein gekoppelde VM's bevinden zich in één organisatie-eenheid. Desgewenst kunt u aangepaste organisatie-eenheden maken.
- Microsoft Entra Domain Services maakt gebruik van een ingebouwd groepsbeleidsobject voor de containers voor gebruikers en computers. Voor extra controle kunt u aangepaste GPO's maken en deze richten op aangepaste organisatie-eenheden.
- Microsoft Entra Domain Services ondersteunt het basisobjectschema voor Active Directory-computers. U kunt het schema van het computerobject echter niet uitbreiden.
- U kunt wachtwoorden niet rechtstreeks wijzigen in een door Microsoft Entra Domain Services beheerd domein. Eindgebruikers kunnen hun wachtwoord wijzigen met behulp van het selfservicemechanisme voor wachtwoordwijziging van Microsoft Entra ID of op basis van de on-premises directory. Deze wijzigingen worden vervolgens automatisch gesynchroniseerd en beschikbaar in het door Microsoft Entra Domain Services beheerde domein.
Zorg er ook voor dat:
- Toepassingen hoeven niet te worden gewijzigd/geschreven naar de LDAP-directory. LDAP-schrijftoegang tot een door Microsoft Entra Domain Services beheerd domein wordt niet ondersteund.
- De toepassing heeft geen aangepast/uitgebreid Active Directory-schema nodig. Schema-extensies worden niet ondersteund in Microsoft Entra Domain Services.
- De toepassingen gebruiken een gebruikersnaam en wachtwoord voor verificatie. Verificatie op basis van certificaten of smartcards wordt niet ondersteund door Microsoft Entra Domain Services.